CiscoForums.it

Buon giorno,
allora, eccoci di fronte ad un altro storico del networking: ftp. Lo aborriamo in quanto cleartext ma non possiamo farne a meno!
Ho nattato la porta 21 verso un server FTP e poi ho abilitato ip inspect ftp per far funzionare la connessione dati passiva.
Ora, cosa succede se, disgraziatamente, un client vuole funzionare in modo attivo? Ho provato a nattare anche la 20 ma senza risultati...
ho il sospetto che ip inspect si intrometta in quanto permette connessioni ftp dati con solo le porte superiori a quelle privilegiate.
Esiste un modo per far convivere le due cose?

Non capisco perché non dovrebbero convivere...
In fondo, ip inspect si limita a creare delle ACL run-time per permettere il traffico... se il traffico è già permesso sulla porta 21, dovrebbe passare normalmente. Sbaglio?

E allora non riesco proprio a capire perché non va!
Qualche suggerimento?

Innanzi tutto potresti cominciare a verificare la funzionalità del server. Non è che inibisce il funzionamento attivo?

Colgo l'occasione per porre una domanda, se non vi dispiace.
Cosa fa precisamente ip inspect?? Intendo nel dettaglio

Allora, IP inspect fa un sacco di cose. Se vuoi un prospetto completo, forse ti conviene cercare documentazione... google è tuo amico.
L'aspetto di IP inspect di cui parliamo specificatamente in questo thread è legato all'ispezione di alcuni protocolli di livello applicativo.
Le ACL funzionano a livello pacchetto e trasporto e non capiscono se si tratta di ftp o http o chissà che cosa, loro lavorano con porte e indirizzi.
IP inspect ci permette di chiudere le porte e fare in modo che si aprano nel caso in cui ip inspect riconosca il protocollo e lo autorizzi.
Crea quindi delle acl in tempo reale per far filtrare una connessione che è autorizzata a passare.
Un caso analogo a ftp passivo è h323, quello usato nelle videoconferenze. I dati in entrata non sono identificabili dalle porte. ip inspect è in grado di riconoscere quei dati e creare delle acl per far filtrare quei dati.